ต่อไป »

[vii]

ผมไม่ได้ตั้งกระทู้จ้างงานนะครับ แค่มาถามหาแนวทางก่อนเฉยๆ

ถ้าผมต้องการจ้างคนตรวจ security ของเว็บไซต์ ควรจะมีแนวทางวิธียังไงบ้างครับ เพื่อจะรู้ว่าเค้าตรวจจริง รู้จริง ทำจริง

กลัวแบบว่ารับงานไปแล้วเปิดๆดูเฉยๆแล้วบอกว่าทุกอย่างปลอดภัยดี แล้วก็มารับเงิน ขอคำแนะนำหน่อยครับ

[thaikorn04]

มาช่วยดันให้ครับ

[tikanaht]

เคยเห็นโปรแกรมสำหรับตรวจสอบ ราคาประมาณ $4000

[theonsenz]

เป็นเวปแนวไหนละครับ ถ้าให้ดี ขอ linkเวป ด้วยจะดีมาก

[xfiles]

ทำ Penetration Test หรอครับ ผมเรียนอยู่พอดีเลย  แต่มึนๆ 

[vii]

เป็นเวปแนวไหนละครับ ถ้าให้ดี ขอ linkเวป ด้วยจะดีมาก

เป็นเว็บ cms เหมือนกับที่มีทั่วไปน่ะครับ แต่เน้นไปเฉพาะทาง คงไม่ยังต้องบอก link ดีกว่ามั้ง

ขอคำแนะนำวิธีดูการทำงานของผู้รับงานก่อนดีกว่า ผมจะได้รู้ทันว่าจะทำยังไง (ท่าทางอยากรู้กันหลายคนด้วยสิ)

ทำ Penetration Test หรอครับ ผมเรียนอยู่พอดีเลย  แต่มึนๆ 

ก็ตรวจความปลอดภัยทุกอย่างที่จะกระทำได้ผ่านทางหน้าเว็บน่ะครับ (ไม่เอา hack server เพราะจะโดนผู้ให้บริการฟ้องร้องเอาได้)
อย่างเช่นการเจาะ user pass, การทะลวง sql, การแทรกแทก html js script ผ่านคอมเม้นหรือ form ต่างๆ (นึกไม่ออก)

[thanyath99]

อยากรู้เหมือนกัน นอนคอย 

[theonsenz]

ก็เอาเวปทิ้งไว้ แล้วก็ประกาศว่า Hack ได้ให้เงิน..... โดยยินยอมทุกอย่าง มีเงื่อนไขแค่ต้องบอก bug มาเฉยๆ ถ้า Hack ไม่ได้ก็แปลว่า script ปลอดภัย

ท่าให้ดี pm มาครับ รู้ผลวันเดียว

[vii]

ก็เอาเวปทิ้งไว้ แล้วก็ประกาศว่า Hack ได้ให้เงิน..... โดยยินยอมทุกอย่าง มีเงื่อนไขแค่ต้องบอก bug มาเฉยๆ ถ้า Hack ไม่ได้ก็แปลว่า script ปลอดภัย

ท่าให้ดี pm มาครับ รู้ผลวันเดียว

ทำแบบนั้นแล้วมันจะช่วยให้ผมอุดรูรั่วได้จริงหรือครับ? กลัวจะเจอแบบพวกร้อนวิชามายำเล่นหนุกๆแล้วก็ไป 

[zern]

ผมคึดได้สามวิธี

วิธีแรกสุ่มตรวจสอบอันนี้เข้าใจอยู่แล้ว

วิํธีที่สองแข่งขัน
วิธีการแข่งขันก็มีคนตรวจสัก 2 คนขึ้นไป หากอยากให้ชัวร์ก็เอาให้มากกว่า 2 โดยให้ค่าจ้างส่วนนึงเป็น fix ส่วนนึงเป็น variable

เช่นจ้างคนดูแลสองคนให้ค่าดูแล 500 บาทต่อเดือน หากใครเจอปัญหาก่อนให้เพิ่ม 100 บาท หากคนที่หนึ่ง หาเจอก่อนคนที่ 2 เกิน 5 ครั้งเมื่อไรเลิกจ้างคนที่สองทันที เพราะถือว่าไม่มีประสิทธิภาพในการทำงาน แต่ทั้งนี้ทั้งนั้นต้องตกลงเงื่อไขกันให้เข้าใจตั้งแต่แรกนะครับ เพื่อไม่ให้มีข้อครหาภายหลัง

หากคนที่หาเจอน้อยที่สุดหาปัญหาเจอน้อยกว่า คนที่อยู่รองท้ายสุดเกินสามอันเลิกจ้างทันทีอะไรแบบนี้ ที่สำคัญอย่าให้ผู้ตรวจสอบรู้จักกันหรือสามารถติดต่อกันได้เพราะอาจจะมีการฮั๊วะกันเกิดขึ้น

วิธีที่สามครอสเช็ก
ให้มีคนตรวจสองคนขึ้นไป แต่ละเดือนก็จะให้รายงานผลการตรวจสอบ จุดที่ตรวจเจอเหมือนๆกันก็แสดงว่ามีปัญหาจริง หากจุดไหนที่คนนึงเจอ อีกคนไม่เจอก็เช็คเป็นกรณีพิเศษว่ารายงานมั่ว หรืออีกคนหาไม่เจอ หากคนใดประสิทธิภาพต่ำก็เลิกจ้างเช่นกัน วิธีนี้ก็ต้องคุยให้เข้าใจและอย่าให้คนตรวจรู้จักกันด้วยเช่นกัน

ปล.วิธีที่สองกับสามขึ้นอยู่กับงบประมาณท่านว่ากันงบส่วนนี้ไว้เท่าไร หากมีงบมากก็จ้างสามคนสี่คนไปเลย

[theonsenz]

Hacker ในไทย เจ๋งๆ มีหลักหน่วยครับ ซึ่งผมก็บังเอิญ รู้จัก และคิดว่าพอจะให้คำปรึกษาได้เฉยๆครับ

เวปนี้ส่วนใหญ่มีแต่สาย Administrator ซึ่งคนเก่งๆเยอะมากครับ แต่ส่วนใหญ่รู้แต่วิธีแก้ กับวิธีป้องกัน แต่ไม่รู้วิธีเจาะ

[xfiles]

ผมว่า จขกท ลองดูบทความวิชาการก่อนไหมครับว่าเป็นอย่างไงในการทดสอบระบบ ต้องมีขั้นตอนอย่างไร ถ้าท่านละเลยมีเจ็บตัวแน่นอน

[vii]

ผมว่า จขกท ลองดูบทความวิชาการก่อนไหมครับว่าเป็นอย่างไงในการทดสอบระบบ ต้องมีขั้นตอนอย่างไร ถ้าท่านละเลยมีเจ็บตัวแน่นอน

การทดสอบขั้นพื้นฐานผมได้ทำไปหมดแล้ว แล้วโดยตัว codeigniter ของมันเองก็มีความปลอดภัยในระดับหนึ่ง อย่าง sql injection ที่ลองดูก็ไม่มีปัญหา

ทีนี้ก็อย่างที่คุณ thaionsenz ว่า ผมไม่รู้หรอกว่ามันจะมีอะไรรั่วอื่นๆอีกหรือเปล่า เพราะผมก็เช็คไปตาม guide ต่างๆที่มีกระจายอยู่ในเน็ต ก็ผ่าน
ดังนั้นผมจึงต้องการหาคนที่ชำนาญเฉพาะทางนี้ แล้วจ้างมาทำเพิ่มเติม
แน่นอน ถ้ารั่วๆหลุดออกไป ลูกค้าเล่นงานผมชักดิ้นชักงอแน่ 

[Kaeji]

สนใจด้วยครับ
ที่ cat ก็มีให้คำปรึกษาอยู่นะครับ

[ayeweb]

cmsก็น่าจะมีคนพบก่อนแล้วอะครับ ถ้ามีรั่วจริง

[tonzatatay]

thaishadow.com มีคนรับงานตรวจสอบหาจุดบัคคับ

[stitchyfuse]

ลองใช้บริการของ secon security services ดูไหมคะ
เห็นว่าเป็นเว็บเกี่ยวกับ security เพื่อช่วยได้ แหะๆ
ดูๆ ก็มีบริการเกี่ยวกับความปลอดภัยหลายแบบดีนะคะ

  http://www.secon-security.com/